[디지털경제뉴스 박시현 기자] 2026년에는 얼굴 생체 인식 솔루션을 겨냥한 AI 딥페이크 공격으로 인해 기업의 30%가 신원 확인 및 인증 솔루션을 더 이상 단독으로 신뢰하지 않을 것이라는 전망이 나왔다.
가트너는 “지난 10년 동안 AI 분야는 수많은 변곡점을 거치면서 합성 이미지 생성이 기능해졌다. 이렇게 인공적으로 생성된 실존 인물의 얼굴 이미지는 ‘딥페이크’로 잘 알려져 있으며, 악의적인 공격자가 생체 인증을 약화시키거나 비효율적으로 만드는 데 사용될 수 있다”라며, “결과적으로 조직은 인증 대상자의 얼굴이 실제 사람인지 딥페이크인지 구분할 수 없기 때문에 신원 확인 및 인증 솔루션의 신뢰도에 의문을 제기할 것”이라고 밝혔다.
얼굴 생체 인식을 이용한 신원 확인 및 인증 프로세스는 사용자의 진위 여부 평가를 위해 PAD(Presentation attack detection) 기술을 활용하고 있다. 가트너는 "PAD 메커니즘을 정의하고 평가하는 현재의 기준 및 테스트 프로세스는 최신 AI 생성 딥페이크를 이용한 디지털 인젝션 공격을 구분해내지 못한다"고 지적했다.
가트너의 연구 결과에 따르면, 가장 일반적인 공격 벡터는 프레젠테이션 공격이지만 2023년에는 인젝션 공격이 200%나 증가한 것으로 나타났다. 이러한 공격을 막아내기 위해서는 PAD, IAD(Injection attack detection), 이미지 검사 기술을 함께 사용해야 한다.
가트너는 “얼굴 생체 인식을 넘어선 AI 딥페이크로부터 기업을 보호하기 위해서는 최고정보보안책임자(CISO)와 위험 관리 리더들이 어떤 공급업체를 선택하는지가 중요하다. 현재의 표준을 뛰어넘는 역량 및 계획을 갖췄으며 새로운 유형의 공격을 모니터링, 분류, 정량화할 수 있는 공급업체를 선택해야 할 것”이라고 강조했다.
가트너의 권고에 의하면 조직들은 공급업체 가운데 이미지 검사와 결합된 IAD를 사용해 최신 딥페이크 기반 위협을 완화하는 데 특별히 투자해 온 업체와 협력해, 최소한의 제어 기준을 정의해야 한다. 전략을 정의하고 기준을 설정한 후에는 디바이스 식별 및 행동 분석과 같은 추가적인 리스크 및 인식 신호를 포함시켜 신원 확인 프로세스의 공격 탐지 확률을 높여야 한다. 특히 ID 및 액세스 관리를 담당하는 보안 및 위험 관리 리더들은 실제 사람의 존재 여부를 증명할 수 있는 기술을 도입하고, 계정 탈취를 방지하는 추가적인 단계를 구축하는 등 AI 기반 딥페이크 공격 위험을 완화할 수 있는 조치를 취해야 한다.
가트너는 올해 ‘가트너 보안 및 위험 관리 서밋’을 2월 12~13일 두바이, 2월 26~27일 인도, 3월 18~19일 시드니, 6월 3~5일 내셔널 하버, 7월 24~26일 도쿄, 9월 23~25일 런던에서 개최한다.
